Adobe警告其ColdFusion应用服务器平台存在一个严重漏洞,该漏洞可能会让未经授权的用户访问存储在其服务器上的敏感文件。
(帮助:15个免费的安全工具,你应该试试]
Adobe表示,该漏洞被识别为CVE-2013-3336,影响适用于Windows、Macintosh和UNIX的ColdFusion 10、9.0.2、9.0.1、9.0及更早版本一个顾问周三公布的。
该公司称赞赛门铁克安全响应团队的Marcin Siedlarz报告了这个问题。Adobe表示:“有报告称,针对该漏洞的一个利用是公开可用的。”
该公司正在进行修复工作,预计将于5月14日公开发布。在此之前,建议客户限制对某些敏感目录的公共访问,如cide /administrator、cide /adminapi和cide /gettingstarted。
文件中提供了关于如何限制对这些目录的访问的信息ColdFusion 9锁定指南和ColdFusion 10锁定指南.Adobe表示,按照这些技术文档提供的指导对ColdFusion安装进行了加固的客户已经受到了CVE-2013-3336的保护。
尽管ColdFusion不像其他Adobe产品那样被广泛使用,但它在过去一直是黑客攻击的目标。4月,虚拟私有服务器托管公司Linode报道黑客利用此前未知的ColdFusion漏洞进入了它的Web服务器和客户数据库。
今年1月,Adobe发布了安全建议警告客户四个以前未知的ColdFusion漏洞正在被攻击者积极利用。当时推荐的缓解步骤还包括禁用对/ cide /administrator和/ cide /adminapi目录的外部访问。